malware_spyware

Controlli su navigazione Internet dei dipendenti: Garante Privacy sanziona il comune di Bolzano

2345 0

Il Garante per la protezione dei dati personali nel provvedimento n. 190 del 13 maggio 2021 sanzionatorio nei confronti del Comune di Bolzano ha sancito che non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato.

Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

Controlli sui dipendenti e violazioni privacy: il caso del comune di Bolzano

Il provvedimento è stato emanato a seguito di un reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Controllo internet sul lavoro: quali principi rispettare?

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr.

 Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Illecito trattamento dei dati personali: la sanzione per il comune di Bolzano

Il Garante, nel proprio provvedimento, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Internet sul lavoro e diritto alla riservatezza

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Diritto alla privacy e Statuto dei lavoratori: cosa dice la Giurisprudenza

In simili situazioni, già in passato la giurisprudenza della Corte di Cassazione, ponendosi in parziale contrasto con la posizione del Garante, ha iniziato a rivedere l’applicazione dell’art. 4 dello Statuto dei Lavoratori. Difatti, con sentenza n. 4746 del 2002 la Cassazione ha escluso l’applicabilità di detto articolo ai controlli diretti ad accertare condotte illecite del lavoratore, i c.d. controlli difensivi.

Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate”.

Garanzia privacy e controlli in azienda: i limiti

Successivamente, con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia: “Né l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

La giurisprudenza ha riaffermato il principio in numerose pronunce successive e, la sentenza n. 4375 del 2010 lo ha applicato proprio ai programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad Internet.

La sentenza, dopo aver definito tale tipologia di controllo come “controllo preterintenzionale”, rientrante perciò nell’ambito di applicazione del secondo comma dell’art. 4 dello Statuto dei lavoratori, ha affermato, quanto segue: “i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi Internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa e se la stessa sia svolta in termini di diligenza e di corretto adempimento”.

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici. Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore